CVE-2026-3045

El plugin Appointment Booking Calendar — Simply Schedule Appointments para WordPress es vulnerable al acceso no autorizado de datos sensibles en todas las versiones hasta la 1.6.9.29 inclusive. Esto se debe a dos debilidades combinadas: (1) un `public_nonce` no vinculado al usuario se expone a usuarios no autenticados a través del endpoint REST público `/wp-json/ssa/v1/embed-inner`, y (2) el método `get_item()` en `SSA_Settings_Api` se basa en `nonce_permissions_check()` para la autorización (que acepta el nonce público) pero no llama a `remove_unauthorized_settings_for_current_user()` para filtrar campos restringidos. Esto hace posible que atacantes no autenticados accedan a configuraciones del plugin solo para administradores, incluyendo el correo electrónico del administrador, número de teléfono, tokens de acceso internos, configuraciones de notificación y configuraciones de desarrollador a través del endpoint `/wp-json/ssa/v1/settings/{section}`. La exposición de los tokens de citas también permite a un atacante modificar o cancelar citas.